Administración de certificados SSL
Cualquier organización o sitio web individual que requiera el manejo de información confidencial o confidencial debe tener un certificado SSL. El certificado SSL en un servidor web ayuda a garantizar la autenticidad del servidor web al cliente conectado. No solo autentica la identidad de un sitio web, sino que también ayuda a generar la clave de sesión, que se utiliza posteriormente para el cifrado de toda la sesión.
Un certificado Secure Socket Layer (SSL), que forma parte de cualquier transacción SSL, es un formulario de datos digitales (X509) que identifica a una empresa (dominio) o a un individuo. El certificado tiene un componente de clave pública visible para cualquier cliente que quiera iniciar una transacción segura con el servidor. La clave privada correspondiente, que reside de forma segura en el dispositivo Citrix Application Delivery Controller (ADC), se utiliza para completar el cifrado y descifrado de clave asimétrica (o clave pública).
NetScaler Application Delivery Management (ADM) le proporciona una consola unificada para automatizar la instalación, la actualización, la eliminación, la vinculación y la descarga de los certificados SSL. Ayuda a conservar la reputación del sitio web y la confianza del cliente. NetScaler ADM ahora optimiza todos los aspectos de la administración de certificados por usted. A través de una consola unificada, puede configurar directivas automatizadas para garantizar el emisor recomendado, la fuerza de clave, el protocolo y los algoritmos según las directivas de TI de la organización. Al hacerlo, puede vigilar de cerca los certificados que no se utilizan o que están a punto de caducar.
Puede obtener un certificado y una clave SSL de cualquiera de las siguientes maneras:
-
De una entidad emisora de certificados (CA) autorizada, como Verisign
-
Al generar un nuevo certificado SSL y una clave en el dispositivo NetScaler
Configuración de directiva SSL empresarial
Cada empresa tiene su propia directiva SSL y define los requisitos a los que deben cumplir todos los certificados SSL. La seguridad siempre ha sido una de las principales prioridades de todos los usuarios empresariales y, por lo tanto, la configuración SSL desempeña un papel importante.
Por ejemplo, una empresa ABC ordena que todos los certificados deben tener fortalezas clave mínimas de 2.048 bits o superiores. Los certificados deben ser autorizados por entidades emisoras o entidades emisoras de confianza. Los administradores deben comprobar todos estos parámetros SSL para asegurarse de que los certificados cumplen con la directiva de la empresa. Es un trabajo tedioso verificar cada certificado manualmente. Para superar este caso, NetScaler ADM le ayuda a configurar la configuración de la directiva SSL empresarial y muestra cualquier certificado de incumplimiento con la etiqueta “No recomendado”.
Puede ver el resumen de los certificados de incumplimiento (no recomendados) en el Panel de control de SSL.
Nota
Los certificados “No recomendados” se clasifican en función de diferentes parámetros, y puede verlos en componentes relevantes.
Cómo funciona el certificado NetScaler ADM
SSL Dashboard proporciona una presentación visual de todos los certificados SSL instalados en diferentes instancias de NetScaler. El panel SSL incluye la siguiente información para cada certificado instalado en instancias de NetScaler. Se clasifica en función de lo siguiente:
-
Autofirmada frente a CA firmada. La sección autofirmada frente a la firma de CA le ayuda a segregar los certificados en certificados autofirmados y certificados firmados por CA.
-
Algoritmos de firma. Esta sección segrega los certificados SSL en función de los algoritmos de firma que se utilizan para el cifrado.
-
Uso. Esta sección segrega los certificados SSL en función de certificados usados y no utilizados. Los certificados no utilizados exigen una atención especial, ya que es posible que no se hayan podido enlazar a los servidores virtuales.
-
Emisores. Esta sección separa los certificados SSL en función del emisor de los certificados.
-
Fuerza de la clave. Esta sección segrega los certificados SSL en función de la intensidad de clave de una clave privada.
-
Las 10 instancias principales. Esta sección proporciona los detalles de las 10 instancias principales de NetScaler en función del número de certificados SSL instalados.
Casos de uso de administración de certificados SSL
Los siguientes casos de uso describen cómo puede utilizar el certificado SSL para administrar y supervisar los certificados en varias instancias de NetScaler.
Instalar certificados SSL
Imagine que tiene una flota de instancias de NetScaler en las que debe implementar los certificados SSL requeridos. NetScaler ADM proporciona una consola unificada para implementar los certificados SSL en varias instancias de NetScaler en un solo intento.
Por ejemplo, es posible que quiera instalar algunos certificados SSL en una o más instancias de NetScaler. Con este enfoque, puede minimizar la intervención manual de instalar el certificado SSL en cada instancia de NetScaler. Puede realizar una instalación masiva de certificados SSL en una o más instancias de NetScaler.
Para obtener un resumen de los certificados SSL, inicie sesión en NetScaler ADMy, a continuación, vaya a Infraestructura > Panel de control SSL.
Configuración de notificación para caducidad del certificado
En este caso de uso, es posible que tenga muchos certificados en varias instancias de NetScaler y se convierte en una sobrecarga para realizar el seguimiento de la caducidad de cada certificado. Es un trabajo tedioso para usted realizar un seguimiento manual de cada certificado y actualizarlo antes de que caduque. Para evitar estos casos, puede configurar NetScaler ADM para que envíe las notificaciones o alertas a los perfiles configurados de correo electrónico, buscapersonas, Slack o ServiceNow configurados. De esta forma, puede mantenerse al tanto de las fechas de caducidad de los certificados y renovarlos mucho antes de las fechas de caducidad.
Por ejemplo, puede olvidarse de realizar un seguimiento del certificado que está a punto de caducar. Y el certificado caduca causando una interrupción del servicio, lo que podría afectar a numerosas aplicaciones para los usuarios. Con la configuración de notificación de caducidad de certificado ADM, puede evitar estos casos imprevistos.
Puede ver el resumen y realizar un seguimiento de los certificados que están a punto de caducar en el panel SSL.
Para ver el informe de certificados que caducan en cualquier duración, puede hacer clic en el mosaico para obtener los detalles de todos los certificados que caducan en esa ventana.
Renovación de certificados
Ahora puede renovar los certificados desde NetScaler ADM. Puede renovar los certificados existentes o crear los certificados basándose en lo siguiente:
Actualizar el certificado existente
En este caso de uso, debe actualizar un certificado existente una vez que reciba un certificado renovado de la entidad emisora de certificados (CA). Ahora puede actualizar los certificados existentes desde NetScaler ADM sin iniciar sesión en las instancias de NetScaler.
Por ejemplo, puede haber algunos cambios o modificaciones en los certificados existentes. La CA emite certificados renovados. En lugar de ir al dispositivo NetScaler, ahora puede actualizar el certificado SSL desde NetScaler ADM.
Para actualizar cualquier certificado, inicie sesión en NetScaler ADM y, a continuación, vaya a Infraestructura > Panel SSL.
Seleccione el certificado que quiere actualizar y haga clic en Actualizar.
Tiene la opción de actualizar los campos relevantes del certificado seleccionado de NetScaler ADM.
Crear solicitud de firma de certificado
Imagine un caso de uso en el que uno de los certificados SSL no cumple con las directivas de la organización. Desea obtener un certificado nuevo de la entidad emisora de certificados. Ahora puede generar una solicitud de firma de certificado (CSR) desde NetScaler ADM. Una CSR y una clave pública se pueden enviar a una entidad emisora de certificados para obtener el certificado SSL.
Para determinar y crear CSR, seleccione el certificado deseado y haga clic en Crear CSR.
Necesita tener un par de valores de clave pública o privada. Para cargar una clave, haga clic en Elegir archivo y selecciónelo en la lista. Para crear una clave, seleccione No tengo una opción Clave y especifique los parámetros relevantes.
Para proporcionar más detalles de la clave seleccionada, como Nombre común, Nombre de organización, Ciudad, País, Estado, Unidad organizativa e ID de correo electrónico para crear la CSR.
Vincular y desvincular certificados SSL
Puede enlazar varios certificados SSL entre sí para crear un paquete de certificados. Para vincular un certificado a otro certificado, el emisor del primer certificado debe coincidir con el dominio del segundo certificado.
Registros de auditoría
Registros de auditoría es una colección de archivos de registro de texto generados por NetScaler ADM. Muestra un historial de certificados SSL que se agregan, modifican y modifican mediante NetScaler ADM al dispositivo NetScaler específico. Los registros de auditoría también muestran la dirección IP del dispositivo NetScaler, el estado, la hora de inicio y la hora de finalización de la operación concreta.
En este ejemplo, es posible que quiera comprobar el cambio que se ha producido durante un período en el certificado concreto. Además, tiene una opción para ver el historial de cambios en el certificado a través del registro de dispositivos y el registro de comandos.
Para determinar la información de los certificados SSL, en el Panel de control de SSL, haga clic en Registro de auditoría. El resumen de la aplicación incluye el estado de los certificados SSL con Hora de inicio y Hora de finalización.
Para determinar la información del dispositivo NetScaler de un certificado SSL determinado, seleccione la casilla de verificación Certificado correspondiente que quiera. Haga clic en Registro del dispositivo.
Para ver la información del tipo de comando y el mensaje, haga clic en Registro de comandos.
